Kein uneingeschränkter Einsatz von Microsoft 365

So viel ist klar: Microsoft 365 (kurz MS 365) kann derzeit mit den von Microsoft bereitgestellten Vertragsdokumenten nicht vollumfänglich datenschutzkonform genutzt werden. Unternehmen, die die Software in ihrem Unternehmen einsetzen wollen, müssen sich bewusst darüber sein, dass sie zuvor einige Herausforderungen zu bewältigen haben. Welche das sind und wie Ihnen begegnet werden kann, haben wir für Sie nachfolgend zusammengefasst.

Nach eigenen Angaben kann man mit Microsoft 365 „Außergewöhnliches“ erreichen. Das Softwarepaket mit über 20 separaten und kombinierbaren Diensten und Apps soll Sie und Ihre MitarbeiterInnen bei Ihrer täglichen Arbeit im Unternehmen möglichst optimal und einfach unterstützen. Wenn Sie das Angebot für MS 365 aus wirtschaftlichen und nutzungsfreundlichen Gesichtspunkten überzeugt, müssen Sie die Software in einem nächsten Schritt auch auf den datenschutzrechtlichen Prüfstand stellen.

Mit Abschluss des Lizenzvertrages mit Microsoft wird gleichzeitig ein sog. Datenschutznachtrag (von Microsoft und im Folgenden „DPA“ – Data Protection Addendum genannt) vereinbart. Dies stellt im Sinne der DSGVO den sog. Auftragsverarbeitungsvertrag dar. Microsoft verarbeitet also mit den Diensten von MS 365 Daten (und eben auch personenbezogene Daten) in Ihrem Auftrag. Datenschutzrechtlich bleibt das einsetzende Unternehmen Verantwortlicher für den Einsatz und im Fall von Schutzverletzungen mit den sich daraus ergebenen Rechtsbehelfen, Haftungen und Schadenersatzanforderungen der Betroffenen und möglichen Sanktionen.

Was sagen deutsche Datenschutzbehörden zu MS 365?

Mit Microsoft 365, insbesondere mit dem DPA, befassen sich Datenschutzbehörden und -gremien nun schon seit mehreren Jahren und haben einige Kritikpunkte herausgestellt, die zum Teil eine rechtskonforme Nutzung von MS 365 im Unternehmen unmöglich erscheinen lassen.

Die gewichtigsten Punkte, die sehr hohe (Haftungs-)risiken bergen können, sind:

• die Nutzung von personenbezogenen Daten durch Microsoft zu eigenen Geschäftszwecken und
• widersprüchliche Angaben zum Weisungsrecht des Verantwortlichen im DPA.

Weiterhin werden folgende Inhalte des DPA als unzureichend oder klärungsbedürftig beschrieben:

• die Eingrenzung des Vertragsgegenstandes, des Zwecks der einzelnen Verarbeitungen und der Art der verarbeiteten personenbezogenen Daten bzw. Datenkategorien,
• die Regelungen zur Datenlöschung,
• die Nachvollziehbarkeit der Umsetzung von technischen und organisatorischen Maßnahmen und
• die bereitgestellten Informationen über von Microsoft eingesetzte Unterauftragnehmer.

Nach aktuellen Stellungnahmen und Handreichungen sind die datenschutzrechtlichen Defizite bei der Nutzung von MS 365 größtenteils nur mit Änderungen und Zusatzvereinbarungen zu den von Microsoft bereitgestellten Vertragsdokumenten zu beseitigen. Diese reichen von klarstellenden Ergänzungen des DPA bis hin zu konkreten Vorgaben, die Microsoft dazu zwingen, bestimmte Datenverarbeitungen einzuschränken oder gar zu untersagen.

Es gibt dazu eine von einigen Aufsichtsbehörden erstellte Handreichung für den Einsatz von „Microsoft 365“ mit Stand vom 24.08.2023.

Microsoft räumt zwar grundsätzlich die Möglichkeit ein, zusätzliche Vereinbarungen mit Kunden abzuschließen. Fraglich ist allerdings, ob Microsoft tatsächlich individuellen Vertragsanpassungen insofern zustimmt, als dass sie zu einer datenschutzrechtlich vertretbaren Nutzung von MS 365 führen. Bisher liegen uns zur Bereitschaft von Microsoft, auf Vertragsverhandlungen einzugehen, aber noch keine Erfahrungsberichte von Kunden vor.

Was ist sonst noch beim Einsatz von MS 365 zu beachten?

Abgesehen von den notwendigen Vertragsanpassungen sind weitere datenschutzrechtliche Maßnahmen zu ergreifen und insbesondere zu dokumentieren. Nachfolgend eine Auswahl:

• Vor dem Einsatz von MS 365 ist ggf. eine Datenschutz-Folgenabschätzung (DSFA) in Abhängigkeit der Zwecke, des Verarbeitungsumfangs, der möglichen Verarbeitung von besonders sensiblen Daten gesetzlich erforderlich. Diese hilft auch dabei, herauszustellen, welche Anwendungen von MS 365 tatsächlich und in welchem Umfang für den individuellen Bedarf nützlich sind.
• MS 365 bietet in einem gewissen Umfang die Möglichkeit, die automatische Datenübermittlung von Diagnose- und Nutzungsdaten an Microsoft zu reduzieren. Diese datenschutzfreundlichen Einstellungen sollten unbedingt vorgenommen werden. Da Microsoft regelmäßig seine Produkte aktualisiert, müssen diese Einstellungen auch regelmäßig überprüft und ggf. nachjustiert werden. Sofern möglich, sollten selbstverständlich auch weitere (eigene) technische und organisatorische Maßnahmen geprüft und eingesetzt werden.
• Weiterhin kann der MS Exchange Server innerhalb des eigenen Unternehmensnetzwerks statt in der Cloud gehostet werden. Damit entfällt die Datenverarbeitung auf den Servern von Microsoft und es besteht Sicherheit über den Ort der Datenhaltung.
• Sie müssen selbstverständlich auch für die Datenverarbeitung mit MS 365 Datenschutzinformationen für betroffene Personen erstellen und an geeigneter Stelle zur Verfügung stellen.
• Sämtliche Verarbeitungen von personenbezogenen Daten mit MS 365 sind in das Verzeichnis der Verarbeitungstätigkeiten einzutragen.
• Erstellen Sie im besten Fall ein Löschkonzept oder erweitern Sie Ihr bestehendes in Bezug auf die Verarbeitungen im Zusammenhang mit MS 365.

Fazit

Unternehmen sollten möglichst vor dem Einsatz von MS 365 Aufwand und Nutzen der Anwendungen kritisch abwägen und unbedingt den Datenschutzbeauftragten in die Entscheidungsfindung mit einbeziehen.

Wenn Sie sich dafür entscheiden oder bereits entschieden haben, MS 365 in Ihrem Unternehmen einzusetzen, sollten Sie sich des möglichen Risikos bewusst sein. Die Datenschutzbehörden sehen die Verwendung von MS 365 jedenfalls sehr kritisch und sind die ersten Anlaufstellen für Beschwerden und die zuständigen Aufsichtsbehörden.